ما المقصود بمنصة حماية تطبيقات السحابة الأصلية (CNAPP)؟

تساعد منصات CNAPP على ضمان أمن التطبيقات وأمن الشبكات والامتثال التنظيمي في البيئات السحابية ومتعددة السحابات. تُمكِّن هذه الحلول المؤسسات من حماية البيانات الحساسة من مجموعة من التهديدات الأمنية، بما في ذلك اختراقات أمن البيانات وهجمات البرامج الضارة والمشكلات الأمنية الأخرى، عبر السحابات العامة والخاصة والبنية التحتية المحلية. 

تتضمن منصات حماية تطبيقات السحابة الأصلية (CNAPP) العديد من حلول أمن السحابة، لذلك قد تختلف الوظائف بين العروض المختلفة. وبوجه عام، تتضمن العديد من القدرات الاستباقية والتفاعلية، بما في ذلك ما يلي:

• فحص العناصر المميزة: يتحقق من التعليمات البرمجية تلقائيًا مقابل قواعد البيانات الخاصة بالثغرات المعروفة لتحديد المشكلات الأمنية المحتملة بصورة استباقية قبل النشر. 

• الحواجز الأمنية: تنشئ بروتوكولات أمن مخصصة وقياسية باستخدام أدوات لتطبيق تدابير الأمن المحددة مسبقًا تلقائيًا حيثما أمكن (أو الإبلاغ عن المناطق التي يكون فيها الأمن غير كافٍ). 

• أدوات إدارة التكوين والامتثال: تحدد وتمنع أي تكوينات خاطئة أو ممارسات أمنية لا تمتثل للوائح على مستوى عالٍ للمساعدة على ضمان أمن البيانات وتجنب العقوبات التنظيمية. 

• كشف المخاطر وتحديد الأولويات: يساعد كشف المخاطر وتحديد الأولويات على إبراز أي ثغرات محتملة وتحديد القضايا الأكثر إلحاحًا.  

• تحليلات سلوك المستخدم (UBA): تستخدم أدوات تحليلات سلوك المستخدم (UBA) تحليلات البيانات والذكاء الاصطناعي (AI) والتعلم الآلي (ML) لإنشاء نماذج لسلوك المستخدم النموذجي على الشبكة واكتشاف أي انحرافات قد تشير إلى تهديد أمني. 

توفر منصات حماية تطبيقات السحابة الأصلية (CNAPP) رؤية في الوقت الفعلي عبر بيئات السحابة لتحديد المخاطر والثغرات الأمنية والاستجابة لها طوال دورة حياة التطوير. من خلال تقديم عمليات تكامل واجهة برمجة التطبيقات مع مزودي الخدمات السحابية الرائدين مثل IBM Cloudو Amazon Web Services (AWS) وMicrosoft Azure، تتكامل حلول منصات حماية تطبيقات السحابة الأصلية (CNAPP) داخل مسار CI/CD لتوفير حماية لأحمال التشغيل مستندة إلى وكيل وغير مستندة إلى وكيل للأمان الشامل بدءًا من تكوين التعليمات البرمجية إلى وقت التشغيل.

تدمج منصات أمن CNAPP، التي تم تصورها في الأصل من قِبل شركة الأبحاث والاستشارات Gartner، العديد من تطبيقات أمن السحابة الأصلية—التي كانت تُنشر تقليديًا بصورة فردية—في منصة واحدة.

بدلاً من نهج الأمن التقليدي المنعزل، تجمع منصة CNAPP بين أدوات أمن السحابة المتعددة وتعمل على تبسيطها لتوفير رؤية شاملة و الكشف عن التهديدات والمعالجة لفرق الأمن التي تشرف على المنصات السحابية. 

اعتمادًا على متطلبات المؤسسة، قد تكون أطر عمل CNAPP أكثر ملاءمة لحالات الاستخدام المختلفة. مع بعض الاختلاف، تقدم معظم منصات CNAPP حدًا أدنى من وظائف الأمن المصممة لحماية التطبيقات السحابية بدءًا من التطوير الأولي للرمز البرمجي وحتى النشر النهائي. 

صُممت منصات CNAPP لحماية موارد السحابة وتوفير أمن التطبيقات (AppSec)، وتحقق أفضل النتائج من خلال تلبية الاحتياجات الفريدة للمؤسسة. على أقل تقدير، سوف تعمل منصة CNAPP الفعالة على مراقبة سطح الهجوم المحتمل للمؤسسة وتقليله، والقضاء على الشكوك الأمنية المحتملة وتحسين وضعها الأمني. وعلى هذا النحو، فإن أفضل منصة CNAPP هي الأنسب لمتطلبات المؤسسة.


لتلبية الاحتياجات المتنوعة لحالات الاستخدام المختلفة، قد يقدم المورّدون مستويات متفاوتة من الخدمة، ومع ذلك، من المتوقع أن توفر منصة CNAPP المناسبة معظم هذه العناصر الرئيسية.

تتيح إدارة الوضع الأمني للسحابة (CSPM) للمؤسسات القدرة على مراقبة البنية التحتية السحابة، والبنية الأساسية كرمز (IaC) والموارد السحابية الأخرى باستمرار، وتنفيذ عناصر التحكم الأمنية تلقائيًا استنادًا إلى سياسات الأمان المحددة سلفًا.

تُعدّ إدارة الوضع الأمني للسحابة (CSPM) مفيدة في الكشف عن أي ثغرات أو التكوينات خاطئة، ما يمكّن المؤسسات من تقييم حالة أمن السحابة بسهولة ومعالجة أي تهديدات أو مخاطر امتثال قد تكون موجودة.   

صُممت منصة حماية أحمال تشغيل السحابة (CWPP) لحماية أحمال التشغيل السحابية على وجه التحديد مثل الحاويات والأجهزة الافتراضية و Kubernetes و قواعد البيانات وواجهات برمجة التطبيقات والوظائف بدون خادم (بالإضافة إلى البيانات والعمليات المرتبطة المطلوبة لإنجاز المهام داخل بيئة السحابة).

تُرفق بعض منصات حماية أحمال تشغيل السحابة (CWPP) وكلاء افتراضيين بكل أحمال التشغيل، ولكن منصات حماية أحمال تشغيل السحابة (CWPP) الحديثة التي لا تحتوي على وكلاء توفر تغطية شاملة. يوفر كلا النوعين من منصات حماية أحمال تشغيل السحابة (CWPP) حماية وقت التشغيل لجميع أحمال التشغيل المنشورة داخل بيئة السحابة. 

تُستخدم أدوات إدارة استحقاقات البنية التحتية السحابية (CIEM) لإدارة الهويات في البيئات أحادية السحابة ومتعددة السحابة، بما في ذلك حقوق الوصول والامتيازات والأذونات. من خلال دمج إدارة استحقاقات البنية التحتية السحابية (CIEM)، تكتسب منصات CNAPP إدارة الوصول الحساسة لفرض مبدأ الامتيازات الأقل، الذي يضمن أن يقتصر وصول المستخدمين والخدمات على ما هو ضروري لأدوارهم.

تعمل أدوات إدارة استحقاقات البنية التحتية السحابية (CIEM) على تحديد ومنع أي أذونات غير مقصودة أو مفرطة ومنع أي تهديدات أو عمليات اختراق لأمن البيانات المرتبطة بها. تُعد هذه الأنظمة عنصرًا حساسًا من برنامج إدارة الهوية والوصول (IAM) الأوسع للمؤسسة كما أنه مهم لتمكين نهج أمن أكثر أمانًا قائم على مبدأ الثقة الصفرية.

تراقب أنظمة كشف السحابة والاستجابة لها (CDR) السحابة عن كثب بحثًا عن أي نشاط مشبوه. عند تحديد مثل هذا النشاط، سيعمل نظام كشف السحابة والاستجابة لها (CDR) على تشغيل استجابة تلقائية للحوادث لمعالجة التهديدات في الوقت الفعلي.  

صُممت حلول CSNS لمعالجة نقاط ضعف الشبكة وتتضمن أدوات لتعزيز جدران حماية التطبيقات وتأمين بوابات الويب وتوفير الحماية ضد هجمات الهجوم الموزع لحجب الخدمة. 

Kubernetes عبارة عن منصة تنسيق حاويات لجدولة وتشغيل التطبيقات المحفوظة في حاويات تلقائيًا. صُممت أدوات KSPM لمراقبة بيئات Kubernetes وتقييمها وتأمينها، وضمان حماية البيانات والامتثال التنظيمي من خلال التحقق من صحة التكوين واختبار اختراق المجموعة وقياس الأداء.  

يركز ASPM بشكل خاص على تأمين التطبيقات قبل نشرها، حيث يطبق معلومات سياقية أساسية على التطبيقات في مرحلة التطوير من أجل تحديد وحل أي ثغرات محتملة قد تنشأ بمجرد نشر التطبيق. 

تراقب إدارة وضع أمن البيانات (DSPM) طريقة تخزين البيانات ونقلها وتأمينها في بيئة السحابة، ما يساعد المؤسسات على تتبع بياناتها الحساسة وإدارتها وحمايتها من خلال فرض حواجز حماية أمنية والحفاظ على الامتثال التنظيمي. 

تساعد أدوات البنية الأساسية كرمز (IaC) المؤسسات على تحديد بنية السحابة الخاصة بها باستخدام ملفات التكوين بدلاً من (أو بالإضافة إلى) التعليمات البرمجية الفعلية. تقوم أدوات البنية الأساسية كرمز (IaC) بفحص ملفات التكوين بحثًا عن الثغرات الأمنية والتكوينات الخاطئة، ما يقلل من التعرض غير المقصود للشبكة والامتيازات وانتهاكات التوافق. يمكن أتمتة مسح البنية الأساسية كرمز (IaC) أو تشغيله يدويًا.

مع انتشار الخدمات السحابية و البنية التحتية كخدمة (IaaS)، تظهر تحديات أمنية واسعة النطاق للعمليات التي تسعى إلى الحفاظ على أمن البيانات وتجنب انتهاكات الامتثال التنظيمي المكلفة. توفر الخدمات السحابية بيئات إنتاج مثالية لتطوير البرامج وتطوير التطبيقات—ما يوفر تحسينًا في سرعة طرح المنتجات في السوق من دون التكاليف المرتفعة المرتبطة بالأجهزة المادية أو سلاسل التوريد. 

ومع ذلك، بالنسبة إلى المؤسسات التي تعتمد على مزودي الخدمات السحابية، يصبح الأمن مسؤولية مشتركة. تسمح منصات CNAPP للمؤسسات بحماية مواردها السحابية طوال دورة حياة التطبيق. توفر منصات CNAPP ميزات رئيسية للأمن السيبراني مثل إدارة نقاط النهاية وحماية أحمال التشغيل—وكلها مجمعة في واجهة واحدة. يقلل هذا النهج المبسَّط من النفقات العامة المرتبطة بتعدد المديرين الذين يشرفون على أجزاء فردية من الوضع الأمني الشامل للسحابة. 

تأتي البيئات السحابية المعقدة مصحوبة بمجموعة كبيرة من التحديات الأمنية وتدفق مستمر من المكونات الجديدة والديناميكية للتحقق من صحتها وتأمينها واختبارها ونشرها. في حين أن السحابة توفر مرونة وراحة لا مثيل لهما، إلا أنها تقدم أيضًا العديد من ناقلات الهجوم الجديدة والثغرات المحتملة، ما يمثل العديد من التحديات لفرق الأمن. فيما يلي بعض تحديات الأمن الرئيسية التي تساعد منصات CNAPP على معالجتها:

• عمليات الأمن المنعزلة: لطالما اتبعت المؤسسات نهجًا مجزأً لأمن السحابة، حيث جمعت أجزاءً من منصة CNAPP (مثل إدارة وضع أمن البيانات أو إدارة وضع أمن Kubernetes) كأدوات مستقلة. يتطلب هذا النهج غير الفعال المزيد من الموارد، ويزيد من النفقات العامة وينتج عنه تنفيذ أمني عام أقل فعالية. من خلال دمج هذه الأدوات المتباينة في منصة واحدة، تعمل منصات CNAPP على تحسين وتطبيع ممارسات الأمن عبر السحابة بأكملها ومسار التطوير. ويتطلب توحيد هذه الميزات الفردية في أداة مركزية موارد أقل ويقلل من النفقات العامة الإجمالية.

• الشكوك الأمنية: تساعد منصات CNAPP المؤسسات على الحصول على رؤية أفضل للبنية التحتية السحابية بالكامل. وهي توفر ميزات أمن هجينة قائمة على الوكلاء وميزات أمان غير قائمة على الوكلاء لمراقبة أحمال التشغيل الأكثر حساسية عن كثب وتوفير حماية شاملة فائقة حيثما يحول توافر الموارد دون المراقبة القائمة على الوكلاء. 

• إجهاد التنبيه: في حين أن أدوات الأمن المنعزلة يمكنها تحديد أنواع معينة من الثغرات الأمنية، إلا أنها غالبًا ما تكون غير قادرة على تحديد درجة تحوّل هذه الثغرات إلى تهديدات خطيرة. من دون صورة كاملة، تواجه أدوات الأمن المستقلة صعوبات في ترتيب المشكلات المحتملة حسب الأولوية بصورة فعالة، ما يؤدي إلى تنبيهات مفرطة ولكن منخفضة الأولوية. عندما يُطلب من مديري الأمن تحديد التنبيهات الأكثر أهمية من بين "الضوضاء"، يمكن أن يؤدي إجهاد التنبيه إلى حدوث خطأ بشري. 

• الاحتكاك التشغيلي: في كثير من الأحيان، تتعرض فرق عمليات التطوير لضغوط هائلة لتطوير الموارد والتطبيقات في السحابة ونشرها. في ظل ضيق الوقت هذا، غالبًا ما يكون التعاون بين المطورين وفرق التطوير والأمن والعمليات (Devsecops) المسؤولة عن الحفاظ على الأمان التشغيلي مصدرًا للاحتكاك، ما يطيل من الوقت اللازم لطرح المنتجات في السوق. تساعد منصات CNAPP فرق عمليات التطوير وفرق التطوير والأمن والعمليات على العمل معًا لتضمين أفضل الممارسات تلقائيًا في مرحلة مبكرة من مسار التطوير. 

وكحل أمني سحابي متكامل، تجمع منصات CNAPP المزايا المرتبطة بأدوات إدارة الوضع الأمني للسحابة (CSPM) ومنصة حماية أحمال تشغيل السحابة (CWPP) وإدارة استحقاقات البنية التحتية السحابية (CIEM) في تطبيق واحد مبسط. من خلال التكامل الوثيق بين هذه المنصات القائمة بذاتها تقليديًا، يمكن لمنصات CNAPP تحسين التدابير الأمنية الفردية والشاملة لمنع التهديدات والثغرات الأمنية وكشفها والاستجابة لها على نحو أفضل. 

وتدعم منصات CNAPP أيضًا نهج "التحول إلى اليسار" في الأمن السيبراني الذي يعزز دمج اختبارات الأمن في مرحلة مبكرة ضمن عملية التطوير. كما أنها يمكن أن تساعد في تحسين مهام سير العمل بين فرق عمليات التطوير وفرق التطوير والأمن والعمليات. 

تتضمن بعض المزايا الرئيسية لمنصات CNAPP ما يلي:

• تحسين الأمن السيبراني: تدمج الأمن داخل بيئة السحابة، ما يمنح المؤسسات حماية أفضل ضد التهديدات الإلكترونية. مع ازدياد شيوع البيئات السحابية وتعقيدها، تزداد أهمية أمن السحابة الأصلية في تأمين الأنظمة الهجينة ومتعددة السحابة المترامية الأطراف. 

• إدارة مركزية: تسمح للمؤسسات بتقييم وإدارة البصمة السحابية بالكامل في وقت واحد.

• تحسين الرؤية: توفر رؤى أفضل للبيئات السحابية، ما يقلل من الشكوك ويسلط الضوء على أي ثغرات أمنية أو مشكلات تنظيمية غير متوافقة. 

• الكشف المتقدم عن التهديدات: تبلغ عن العيوب المحتملة أو الثغرات الأمنية أو التكوينات الخاطئة في مسار الإنتاج من التطوير إلى النشر.

• الأتمتة: تعمل على أتمتة أنواع مختلفة من عمليات الفحص الأمني والاستجابات للتهديدات، وتطبق معايير الأمن الداخلية على نطاق واسع حيثما أمكن. 

• الأمن المبكر: يعزز نهج الأمن المائل إلى اليسار، بإضافة اختبارات وضوابط أمنية صارمة في مرحلة مبكرة من مسار التطوير قدر الإمكان. على هذا النحو، فإن أفضل طريقة لتقليل الثغرات داخل السحابة هي اكتشافها ومنعها قبل ظهورها. 

• تبسيط الأمن: يُبسِّط العمليات الأمنية لتقليل الضغط على فرق الأمن وتقليل النفقات العامة المطلوبة لإدارة الحلول الأمنية الفردية.